Upgrade to Pro — share decks privately, control downloads, hide ads and more …

re:Invent 2023終了後~2024年のネットワーク関連のアップデート

Shota Shiratori
November 14, 2024
260

re:Invent 2023終了後~2024年のネットワーク関連のアップデート

NW-JAWS#13登壇資料となります。

Shota Shiratori

November 14, 2024
Tweet

Transcript

  1. 自己紹介 所属 NTT東日本 白鳥 翔太 業務 プロダクト開発シニアスペシャリスト(クラウド関連プロダクト) 経歴 2009年入社 ネットワークエンジニア~セールス~現職

    保有資格 しらとり しょうた 好きなAWSサービス Amazon S3 ネットワークスペシャリスト 情報セキュリティスペシャリスト 2020/2021/2022 APN AWS Top Engineers 2023/2024 Japan AWS Top Engineers 2023/2024 Japan AWS All Certifications Engineers 2024 AWS Ambassadors 好きな言葉 Knowledge is Power./Insist on the Highest Standards. コミュニティ AWS Ambassador - Certification All-Star Award 2024 #nw_jaws @whitebird_sp ドラクエ3 HD-2Dのパーティ ・勇者、まもの使い、僧侶、魔法使い
  2. 今回のセッションで取り上げる対象の整理 • AWS 最新情報に記載のもの • 対象期間:2023年12月2日~2024年11月14日12:00(JST) • 対象カテゴリ・ワード: • カテゴリ:Networking

    & Content Delivery(ネットワークとコンテンツ配信)Securityの一部 • 個別フィルタ:IPv6, PrivateLink • まとめて記載 • 既存サービスのIPv6対応、PrivateLink対応 • 紹介対象外とするもの • 既存サービスの対象リージョン追加(VPC Latticeが大阪リージョンに対応 など) • Direct Connectロケーション、エッジロケーション追加 本セッションで全33件取り上げます!(Glue Manualなので漏れたらごめんなさい) #nw_jaws @whitebird_sp
  3. AWS Local ZonesでBYOIPに対応 (2023/12/20,2024/10/3) • 新たにAWS Local ZonesでBYOIPに対応 • 最初に対応したLocal

    ZonesはLos Angeles、Phoenix、 Dallas • 今日現在はすべてのLocal Zonesで利用可能(2024/10/3) • 台湾(ap-northeast-1-tpe-1)も対応 • これにより、Local Zonesとリージョンで一貫した持込IPアドレス戦略が可 能に • BYOIPできる条件はリージョンと同じ https://aws.amazon.com/about-aws/whats-new/2023/12/amazon-virtual-private-cloud-byoip-three- zones/ https://aws.amazon.com/about-aws/whats-new/2024/10/amazon-virtual-private-cloud-byoip-byoasn- local-zones/ #nw_jaws @whitebird_sp 1/33
  4. Amazon Route53の地理的近接性ルーティング の拡張 (2024/1/10) • 地理的近接性ルーティングがプライ ベートホストゾーンに拡張 • 2023年10月にLocal Zonesが先

    行して対応 • これにより、プライベートなデータ保管 を地理的近接性に基づいて行えるよ うに • マルチLocal Zones、マルチリージョ ン環境でのTraffic Flowがより詳細 に https://aws.amazon.com/about-aws/whats-new/2024/01/amazon-route-53-expands-geoproximity- routing/ #nw_jaws @whitebird_sp 2/33
  5. NLBがACM経由でRSA3072bit証明書、 ECDSA256/384/521bit証明書サポート開始 (2024/1/19) • RSA/ECDSAなどの公開鍵暗号は鍵長による暗号強度を設定 • 現在ではRSA 2048bit以上、ECDSA 224bit以上を推奨 (2030年まで)

    • RSA3072bitも2050年には限界を迎えるといわれており… • その先のRSAのbit長は現実的ではないとも言われており… • 量子コンピュータが実現化した際はこの限りではないともいわれており… https://aws.amazon.com/about-aws/whats-new/2024/01/network-load-balancer-rsa-3072-bit-ecdsa-256- 384-521-bit-certificates/ #nw_jaws @whitebird_sp 3/33
  6. ALBでHTTPクライアントのキープアライブ期間の 調整が可能に (2024/3/14) • デフォルトでは3600秒(1時間) • 60秒から7日間まで調整可能に • キープアライブ時間を調整してセッションを終了させることで、 Blue/Greenデプロイのロールバック時、レガシーアプリケーションの

    移行時、AZ障害、ゾーンシフト/ゾーンオートシフト時のスムーズなクラ イアント側から見た利用不能な時間を短縮 https://aws.amazon.com/about-aws/whats-new/2024/03/application-load-balancer-http-keepalive- duration/ #nw_jaws @whitebird_sp 7/33
  7. AWS Global Acceleratorが5つの新しい CloudWatchメトリクスをサポート開始 (2024/3/27) • 追加メトリクス • ActiveFlowCount •

    クライアントからのTCP/UDPコネクション数 • PacketsProcessed • Global Acceleratorが処理しているパケット数 • TCP_AGA_Reset_Count • Global Acceleratorが終了させたTCPコネクション数 • TCP_Client_Reset_Count • クライアント側が終了させたTCPコネクション数 • TCP_Endpoint_Reset_Count • エンドポイントが終了させたTCPコネクション数 • アクセラレータエンドポイントでの問題特定に利用 https://aws.amazon.com/about-aws/whats-new/2024/03/application-load-balancer-http- keepalive-duration/ #nw_jaws @whitebird_sp 8/33
  8. Amazon CloudFront がLambda Functions URLs オリジンのオリジンアクセスコントロール (OAC) を新たにサポート (2024/4/11) •

    Lambdalith勢大喜び • Lambda Function URLsでCloudFrontの署名付 きURLや、AWS WAFの追加が可能に • これまでもIAM認証の仕組みはあったが、SigV4を 使ったりしてハードルが高くプライベートでのLambda Function URLs利用が限られていたが、一気にハー ドルが下がることに • API Gatewayを使用しないことでシンプルな実装も 可能に • API Gatewayの時間制限(30秒)→Lambdaの時 間制限(15分)に延長可 https://aws.amazon.com/jp/about-aws/whats-new/2024/04/amazon-cloudfront-oac-lambda-function- url-origins/ Amazon CloudFront AWS Lambda #nw_jaws @whitebird_sp 9/33
  9. Amazon Route 53 Profiles (2024/4/22) • プライベートホストゾーンの参 加、Route 53 Resolver転

    送ルール、Route 53 DNS Firewallルール、DNSSEC設 定をリージョンごとに一括設定 が可能に • マルチアカウント・マルチVPC での設定を簡素化 https://aws.amazon.com/jp/about-aws/whats-new/2024/04/amazon-route-53-profiles/ New Launch!! • やってみたはこちら→https://dev.classmethod.jp/articles/update-amazon-route53-profiles/ #nw_jaws @whitebird_sp 10/33
  10. AWS Direct Connectの帯域Up (2024/4/24, 2024/7/2) • 10Gbps→25Gbpsのホスト型接続に対応(2024/4/24) • 100Gbps→400Gbpsの専用接続に対応(2024/7/2) •

    400Gbpsはバージニア北部とカルフォルニアリージョン • 400GBASE-LR4 を備えたシングルモードファイバーを準備 • ご用命はお近くのパートナーまで(なお弊社) https://aws.amazon.com/jp/about-aws/whats-new/2024/04/aws-direct-connect-gbps-hosted- connection-capacities/ https://aws.amazon.com/jp/about-aws/whats-new/2024/07/aws-direct-connect-native-400-gbps- dedicated-connections-select-locations/ #nw_jaws @whitebird_sp 12/33
  11. Amazon Route Resolver DNS Firewallが ドメインリダイレクトに対応 (2024/5/1) • 正規名 (CNAME)

    や委任名 (DNAME) などのドメインリダ イレクトチェーンに含まれるドメ インの検査を自動的にスキップ • 実際の利用先がAWSや CloudFront、その他ドメイ ンを使っていた場合、AWS やCloudFrontも許可先に しなければいけなかったが、 これが不要に https://aws.amazon.com/jp/about-aws/whats-new/2024/05/amazon-route-53-resolver-dns-firewall- domain-redirection/ #nw_jaws @whitebird_sp 13/33
  12. Amazon VPC LatticeがTLSパススルーに対応 (2024/5/15) https://aws.amazon.com/about-aws/whats-new/2024/05/amazon-vpc-lattice-tls-passthrough/ • VPC LatticeでTLSを終端させずエンドツーエンドでのTLS接続が可能に • TLS/mTLS

    接続のサーバー名インジケーター (SNI) フィールドに基づい てトラフィックをルーティングする TLS リスナーを設定可能に #nw_jaws @whitebird_sp 14/33
  13. Elastic Fabric Adopter(EFA)周りのアップ デート (2024/7/3, 2024/10/25) • EFAによる同一AZ内のサブネット間の通信(2024/7/2) • EFA-onlyのインターフェースのリリース(2024/10/25)

    https://aws.amazon.com/jp/about-aws/whats-new/2024/07/elastic-fabric-adapter-cross- subnet-communication/ https://aws.amazon.com/jp/about-aws/whats-new/2024/10/aws-efa-updates-scalability-ai- ml-applications/ • EFA-onlyの場合、IPアドレス不要 • 従来のEFAはEFA with ENAと呼 ばれるように • TCP/IPレイヤを利用しなくできる ため、AI/MLでの学習などのHPC を利用する際のVPCのIPアドレス 枯渇問題に対応 #nw_jaws @whitebird_sp 16/33
  14. Amazon VPC IPAMが任意のインターネットレジ ストリに登録されたIPのBYOIPのサポートを開始 (2024/7/23) • IPv4/IPv6ともに対応 • “任意の”が大切で、JPNIC/LACNIC/AFRNICなどに対応 •

    インターネットレジストリ(JPNICなど)に登録されていることを検証できること https://aws.amazon.com/jp/about-aws/whats-new/2024/07/amazon-vpc-ipam-byoip-ips-registered- internet-registry/ • 「やってみた」ツワモノは CyberAgentさんにいました。 • https://developers.cyberag ent.co.jp/blog/archives/49 089/ #nw_jaws @whitebird_sp 17/33
  15. Amazon VPC プライベートIPv6アドレッシング に対応 (2024/8/9) • IPAMでユニークローカルIPv6ユニキャストアドレス(ULA)とグローバル ユニキャストアドレス(GUA)をプライベートIPv6アドレスとして利用可能 • これまでGUAをegress-only

    ゲートウェイとルートテーブルで制御して いたが、、、 https://aws.amazon.com/jp/blogs/networking-and-content-delivery/understanding-ipv6-addressing-on- aws-and-designing-a-scalable-addressing-plan/ https://aws.amazon.com/jp/about-aws/whats-new/2024/08/aws-private-ipv6-addressing-vpcs-subnets/ #nw_jaws @whitebird_sp 18/33
  16. IPAMを利用して、Amazonが提供するIPv4アド レスの連続割り当てに対応 (2024/8/29) • Amazon提供のパブリックIPv4アドレスを使って、IPAMのIPv4パブリッ クスコープのリージョナルプールにプロビジョニングできる。 • これらのプールからElastic IPアドレスを作成し、そのアドレスをEC2、 Network

    Load Balancer、NATゲートウェイなどで使用可 • 連続したアドレス帯になるため、セキュリティグループ・ルートテーブルなど の設定数を減らすことができる • ただし、連続したIPv4ブロックすべてで課金されるので、払い出し過ぎには 要注意 https://aws.amazon.com/jp/about-aws/whats-new/2024/08/amazon-provided-contiguous-ipv4-blocks/ #nw_jaws @whitebird_sp 20/33
  17. NLBとGWLB、NW FirewallでのTCPアイドルタ イムアウトが調整可能に (NLB:2024/9/4, GWLB:2024/9/6, NWFW:2024/10/31) • これまでは350秒で固定だったが、60秒から6000秒まで調整可能に (デフォルトは350秒のまま) •

    LB側でTCPアイドルタイムアウト が発生し別のアプライアンスに 送られるとRSTになる可能性 • GWLBでは対応するFWアプライアンスがより長いTCPアイドルタイムアウトを 持っていたり、一致させる必要性も https://aws.amazon.com/jp/about-aws/whats-new/2024/09/aws-network-load-balancer-tcp-idle-timeout/ https://aws.amazon.com/jp/about-aws/whats-new/2024/09/aws-gateway-load-balancer-tcp-idle-timeout/ https://aws.amazon.com/jp/blogs/networking- and-content-delivery/implementing-long-running- tcp-connections-within-vpc-networking/ #nw_jaws @whitebird_sp 21/33
  18. AWS Transit Gatewayでのセキュリティグルー プ参照に対応 (2024/9/26) • これまでは、VPCをまたぐ場合IPアドレスでのセキュリティグループ設定が が必要だったが、セキュリティグループの指定が可能に • IPアドレスの追加拡張などでの

    設定漏れ防止等セキュリティグループ の管理が効率化 • こちらのブログが参考になります。 https://aws.amazon.com/jp/blogs/news/introducing-security-group- referencing-for-aws-transit-gateway/ https://aws.amazon.com/jp/about-aws/whats-new/2024/09/general-availability-security-group- referencing-aws-transit-gateway/ #nw_jaws @whitebird_sp 22/33
  19. AWS CloudTrailのVPCエンドポイントでのネッ トワークアクティビティイベント対応 (2024/9/26) • VPCエンドポイントを通過するAWS APIアクティビティの記録に対応 • プレビュー対応のサービスは下記の通り •

    Amazon EC2 • AWS Key Management Service (AWS KMS) • AWS Secrets Manager • AWS CloudTrail • データ境界での悪意のあるアクションや不正なアクションを特定しやすくなる https://aws.amazon.com/jp/about-aws/whats-new/2024/09/aws-cloudtrail-network-activity-events-vpc- endpoints-preview/ Preview #nw_jaws @whitebird_sp 23/33
  20. CloudFrontでJA4フィンガープリントをサポート (2024/10/12) • CloudFrontの受信リクエストでClient Helloに含まれるJA4フィンガー プリントを、Cloudfront-viewer-ja4-fingerprintヘッダーのオリジンリ クエストポリシーに追加 • Lambda@Edgeまたはオリジンのアプリケーションサーバーでヘッダー値 を検査して、下記のような動作を想定

    • 既知のマルウェア/botフィンガープリントのリストと比較してブロック • ヘッダー値を予想されるフィンガープリントのリストと比較して、予想され るフィンガープリントを持つリクエストのみを許可 • JA4そのものの技術解説については、APNICのブログで https://blog.apnic.net/2023/11/22/ja4-network-fingerprinting/ https://aws.amazon.com/jp/about-aws/whats-new/2024/10/amazon-cloudfront-ja4-fingerprinting/ #nw_jaws @whitebird_sp 24/33
  21. Amazon ARCのアップデート (2024/10/12, 2024/10/23) • クロスゾーン負荷分散を有効化したNLBでゾーンシフト/ゾーンオートシフトに 対応(2024/10/11) • 2AZの環境でのゾーンシフト/ゾーンオートシフト(2024/10/23) •

    Amazon EKSに対応(2024/10/23) • クロスゾーン負荷分散を有効にした場合、全てのターゲットグループで「異常な ターゲット接続終了」をオフにする必要がある • そもそもゾーンシフト/ゾーンオートシフト 対象のAZのリソースを意図的に 「異常」とみなすことでトラフィックを流さないようにする 詳細はクラソルで https://business.ntt-east.co.jp/content/cloudsolution/ih_column-148.html https://aws.amazon.com/jp/about-aws/whats-new/2024/10/cross-zone-network-load-balancer-zonal-shift-autoshift/ https://aws.amazon.com/jp/about-aws/whats-new/2024/10/amazon-arc-shift-zonal-autoshift-two-multi-az-resources/ https://aws.amazon.com/jp/about-aws/whats-new/2024/10/amazon-eks-application-recovery-controller-arc/ #nw_jaws @whitebird_sp 25/33
  22. 異なるVPCでのセキュリティグループの共有 (2024/10/31) • VPCごとにセキュリティグループを作る必要があったが、同一ルールのセキュ リティグループを異なるVPC共有可能に • 対応しているサービス Amazon API Gateway/Amazon

    EC2/Amazon ECS Amazon EFS/Amazon EKS/Amazon EMR Amazon FSx/Amazon ElastiCache AWS Elastic Beanstalk/AWS Glue/Amazon MQ Amazon SageMaker • ネットワークインターフェースあたりの セキュリティグループ数のクォータは共有元と 共有先のクォータのうち小さいほうに https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/ security-group-sharing.html https://aws.amazon.com/about-aws/whats-new/2024/10/amazon-virtual-private-cloud-security-group- sharing/ #nw_jaws @whitebird_sp 26/33
  23. Amazon Route 53で新しいレコードタイプに対応 (2024/10/31) • HTTPS、SVCB 、SSHFP、TLSAのレコードタイプに対応 • HTTPSレコード SVCBレコード(RFC

    9460) • HTTP Protocol verやTLSなどのWebサービスのパラメータを事前に指定。Client Hello で確認することなくHTTPS接続を開始できる • SVCBは任意のプロトコルに対応 • AliasModeでドメイン最上位の名前解決が可能(Aliasレコードと違い、AWSのリソースに 限らない) • SSHFPレコード(RFC4255)・・・SSHのフィンガープリントの認証に利用 • TLSAレコード・・・ DNSSECとセットで証明書の認証を行う→DANE(RFC 7671) SMTPの 認証で利用 ざっくり解説記事書いた→https://business.ntt- east.co.jp/content/cloudsolution/ih_column-154.html https://aws.amazon.com/about-aws/whats-new/2024/10/amazon-route-53-https-sshfp-svcb-tlsa-dns- support/ #nw_jaws @whitebird_sp https://aws.amazon.com/blogs/networking-and-content-delivery/improving-security-and-performance-with-additional- dns-resource-record-types-in-amazon-route-53/ 27/33
  24. AWS PrivateLinkでUDPに対応 (2024/11/1) • NLB単体ではもともとUDP対応済 • デュアルスタック及びIPv6ネイティブ環境で対応 https://aws.amazon.com/about-aws/whats-new/2024/10/aws-udp-privatelink-dual-stack-network-load- balancers/ #nw_jaws

    @whitebird_sp https://aws.amazon.com/blogs/networking-and-content-delivery/accelerate-ipv6-application-migration-with-aws- privatelink-and-dual-stack-network-load-balancers-udp-support/ 28/33
  25. Amazon CloudFrontにおいて、AWS WAFに よってブロックされたリクエストを無料化 (2024/11/7) • 無料化の対象はCloudFrontのリクエスト料金 • AWS WAFのリクエスト評価とブロックの料金は引き続き有料

    • DDoSによる経済攻撃(EDoS)を完全に防げるわけではないが、 緩和される https://aws.amazon.com/about-aws/whats-new/2024/11/amazon-cloudfront-charges-requests-blocked- aws-waf/ #nw_jaws @whitebird_sp 29/33
  26. CloudaWatch Internet Monitorを使って、 Route 53のIPベースルーティングの最適化提案を 受けられるように (2024/11/8) • Route 53

    IPベースルーティン グ=送信元IPアドレスに基づいて DNS応答を調整。地理的近接性 ルーティングよりも細かくIPアド レスベースで調整可能 • AWS外部の影響で遅延の起きて いるトラフィックを別のリージョン に振り分け直したりする際の提案 を受けることができる https://aws.amazon.com/about-aws/whats-new/2024/11/configure-route53-cidr-blocks-rules-based- internet-monitor-suggestions/ #nw_jaws @whitebird_sp 30/33
  27. Client VPN対応OSにUbuntu 22.04 LTSと 24.04 LTSを追加 (2024/11/14) • 読んで文字の通り •

    公式のデスクトップアプリの更新はまだっぽい https://aws.amazon.com/jp/about-aws/whats-new/2024/11/aws-client-vpn-supports-latest-ubuntu-os- versions/ #nw_jaws @whitebird_sp 31/33
  28. 既存サービスのIPv6対応追加 #nw_jaws 対象サービス 追加日 IPv6ネイティブ、dualstack EKS PodsのEC2 Security Group 2023/12/28

    S3 on Outposts 2024/1/14 IPv6ネイティブ、dualstack Amazon LightSail 2024/1/25 IPv6ネイティブ(dualstackは対応済み) Amazon CloudWatch Logs 2024/2/26 dualstack Application Load Balancer 2024/5/16 IPv6ネイティブ対応(dualstackは既に対応済み) Amazon OpenSearch Serverless 2024/6/12 IPv6ネイティブ、dualstack Amazon RDS Performance Insights 2024/7/11 IPv6ネイティブ、dualstack AWS Cloud Control API 2024/7/15 IPv6ネイティブ、dualstack Amazon EBS Direct API 2024/9/13 IPv6ネイティブ、dualstack AWS Elastic Beanstalk 2024/9/9 dualstack Amazon EC2 Instance Connect 2024/9/23 IPv6ネイティブ、dualstack Amazon Managed Service for Prometheus 2024/10/2 dualstack Amazon EKS endpoints 2024/10/22 IPv6ネイティブ、dualstack 13サービスが新規にIPv6に対応 32/33
  29. 既存サービスのAWS PrivateLink対応 #nw_jaws 対象サービス 追加日 AWS AppConfig 2023/12/11 Amazon DynamoDB

    2024/3/19 Amazon QuickSight 2024/4/15 Amazon Eventbridge Pipes 2024/4/30 2024/6/29 VPC endpoint policy on Amazon EBS direct API 2024/5/14 Amazon OpenSearch Ingestion 2024/6/12 Amazon RDS Performance Insights 2024/7/11 Amazon Eventbridge Schema Registry 2024/7/10 Amazon Redshift Serverless 2024/8/31 AWS Resource Access Manager 2024/9/10 AWS Network Firewall 2024/9/13 Amazon MSK 2024/9/21 Amazon SageMaker with MLflow 2024/9/26 AWS Serverless Application Repository 2024/9/26 Amazon MSK APIs 2024/10/2 15サービスが新規にAWS PrivateLinkに対応 33/33
  30. まとめ・所感 • HTTP/3への対応 • CloudFrontのJA4対応や、Route 53のレコードタイプ追加など • PrivateLinkのUDP対応はアツい • 大規模ネットワーク対応

    • BYOIPまわり、IPv6対応、セキュリティグループ設定の簡素化など • IPAM前提のサービスが増えてきた • Amazon ARCがかなり使いやすくなった